در آخر هفتهی گذشته چند محقق امنیتی برجسته با مدرک آکادمیک در توییتر در حال منتشر کردن خبری بودند که حول رمزارز IOTA
پس از اینکه تعداد زیادی ایمیل به تیم توسعهی IOTA و همچنین یک گروه از محققان امنیتی خارجی ارسال شد، موجی از اعتراضات به دلیل عدم امنیت برای این رمزارز شکل گرفت و باعث شد تا توسعه دهندگان وجود یک نقض امنیتی در یکی از بلاکهای ساختار رمزارز خود را آشکار کنند. در این بین مکاتباتی صورت گرفت که طی آن اقدامات قانونی موسس IOTA با تهدید روبرو شد و در انتها سرگی ایوانچلو (Sergey Ivancheglo) یکی از موسسان این رمزارز، در برابر عضو گروه امنیتی دانشگاه بوستون قرار گرفت. وی بسیاری از محققان این دانشگاه را تشویق کرده تا این پروژه را برهم بزنند.
یکی از کسانی که به شدت در مقابل تیم توسعهی آیوتا اعتراض خود را اعلام کرده متیو گرین (Matthew Green) یک رمزنگار با مدرک دانشگاهی از دانشگاه جان هاپکینز است که یکی از معماران و توسعه دهندگان اصلی رمزارز معروف زیکش (Zcash) است.
رمزارز آیوتا یکی از موفقترین رمزارزهای این صنعت است تا جایی به گفتهی سایت Coinmarketcap توانسته به چیزی بیش از ۵ میلیارد دلار از بازار سرمایهی آمریکا را در بر بگیرد و از لحاظ سرمایه گذاری کاربران این صنعت به رتبهی دهم در بین بزرگترین رمزارزها دسترسی پیدا کند.
این رمزارز حدود از سال ۲۰۱۵ کار خود را شروع کرده و به عنوان یک پیشرفت در معماری بلاکچین
مدافعان این رمزارز آن را به عنوان یک پیشرفت تکنولوژیکی برای اینترنت اشیاء معرفی میکنند. آنها آینده را اینگونه تصور میکنند که تمامی دستگاهها به وسیلهی آیوتا میتوانند با یکدیگر ارتباط برقرار کنند.
با این جال افراد بسیاری در این جامعه وجود دارند که استدلال میکنند که این رمزارز به عنوان یک سیستم که امروزه به فعالیتهای یک اوپراتور مرکزی متصل و به عنوان یک هماهنگ کننده شناخته میشود به اندازهی تبلیغاتی که بر روی آن صورت گرفته غیر، متمرکز نیست.
یکی از افرادی که این چنین فکری میکنند، ریک دودلی (Rick Dudley) مشاور معماری بلاکچین در نیویورک است. به یاد داشته باشید که تیم توسعه دهندهی آیوتا کاری کرده که ارزیابی تکنولوژی این رمزارز توسط محققان بیرون از این تیم کار بسیار دشواری شود.
دودلی توضیح داد که:
اساسا آنچه که آنها انجام دادهاند، نوشتن برخی منابع و مقالاتی بوده که تنها بخشی از سیستم را توصیف میکند. بقیه سیستم مخفی میباشد که این روند به طور کامل در تضاد با بلاکچین است.
Rick Dudley
شروع مشکلات
به نظر میرسد که این مشاجرات اخیر با تلاشهای صادقانهی برخی افراد برای ایجاد شفافیت آغار شده است چونکه تابستان گذشته تیم توسعهی آیوتا تیمی از محققان امنیتی که در دانشگاه MIT به عنوان محقق در زمینه ارزیابی ارزهای دیجیتال فعالیت میکردند را برای پیدا کردن و بررسی آسیب پذیریهای سیستم دعوت کرده بودند.
پس از بررسیهای صورت گرفته، تیمی که ابتدا توسط اتام هیلمن (Ethan heilman) یک محقق امنیتی در دانشگاه بوستون رهبری میشد، توانست یک مشکل امنیتی را پیدا کند. محققان اعلام کردند که تابع هش مورد استفاده توسط آیوتا که Curl نامیده میشد دارای یک حفره امنیتی است. چند هفته بعد از پیدا شدن این مورد محققان یافتههای خود را در یک گزارش اولیه منتشر کردند.
در نهایت توسعه دهندگان آیوتا به حرف مشاوران دانشگاهی گوش دادند و تصمیم به جایگزین کردن دستگاه رمزنگاری آزمایشی خود با یک نمونه دیگر، گرفتند.
با این حال، تعداد زیادی ایمیل در میان تیم آیوتا و محققان DCI پخش شده که برخی از رویدادهای اتفاق افتاده در هنگام انجام این اعمال را آشکار میکند. در بخشی از این ایمیل گفته شده: آیوتا نتیجهی بررسیهای محققان را انکار میکند و اعلام میکرده که گزارشات منتشر شدهی آنها تنها تقلبهای آکادمیک است. اتهامات مشابهی نیز در سایت توییتر منتشر شده است.
شخصی با نام مستعار Come-from-beyond در یک توییت منتشر شده اعلام کرده که توسعه دهندگان باید بترسند زیرا تعدادی وکیل در حال کار بر روی این موضوع هستند.
از زمانی که این ایمیلها منتشر شده، بحثهای زیادی در رسانههای اجتماعی بر سر اینکه حرف کدام یک از طرفین این مشاجره درست بوده به راه افتاده است. بسیاری از کسانی که در این بحثها شرکت کردهاند به طرفداری از آیوتا صحبت کرده و گاهی نیز خود را به عنوان یک سرمایهگذار در این ارز معرفی میکنند.
صرف نظر از اینکه کدام یک از طرفین در افکار عمومی به شکل برنده ظاهر میشود، برای همه مشخص شده که تیم توسعهی آیوتا نشان داده با افشار آسیبپذیریهای صورت گرفته و روند عهده گرفتن این موضوع مشکل دارد و پشتیبانی تیمهای بزرگ بررسی امنیتی و تحلیلگر را به همین دلیل از دست داده است.
دن گویدو (Dan Guido) مدیر عامل یک شرکت امنیتی متخصص در تکنولوژی بلاکچین با نام Trail Of Bits اعلام کرده است که:
من فکر میکند که انتشار این ایمیلها برای پروژهی آیوتا بسیار خجالت آور بوده است. آنها باید همه ما را متقاعد کنند که آیوتا فاقد لیدر برای تیم فنی خود نیست یا به شکل سادهتر، محصولی با بلوغ کامل ساختهاند.
Dan Guido
انتشار این چنین حرفهایی برای یک رمزارز اصلا خوب نیست. وجود امنیت یا حضور گروههایی خارج از تیم برای بررسی و پیدا کردن آسیب پذیریها به صورت آکادمیک در این چنین سیستمهایی یکی از سادهترین و اولین ضروریات به حساب میآید.
حال به نظر میرسد که به دلیل رخ دادن این اتفاقات، آیوتا دیگر قادر نخواهد بود بر روی کمک این چنین گروههایی حساب کند و به راه خود ادامه دهد. چندین محقق در عرصهی رمزنگاری از جمله دیوزیس زیندروس (Dionysis Zindros) که دارای مدرک دکترای دانشگاه آتن، اعلام کردهاند که دیگر از این پروژه پشتیبانی نخواهند کرد.
با توجه به رفتار شرمآور سازمان IOTA علیه متیو گرین و اتان هیلمن مبنی بر تهدید به برخورد قانونی با آنها، من دیگر مسئولیت افشاء هیچ یک از یافتههای امنیتی این رمزارز را که بر روی آن تحقیق میکردم، بر عهده نمیگیرم و از مردم میخواهم که دیگر از این رمزارز استفاده نکنند.
Dionysis Zindros
یکی از سوالهایی که در این لحظه با آن برخورد میکنیم این است که آیا خصومتهای نشان داده شده توسط تیم آیوتا باعث میشود محققان امنیتی یک بار دیگر ریسک کار کردن با شرکتهای مرتبط با دنیای بلاکچین را مورد ارزیابی قرار دهند؟ گویدو در این باره میگوید:
مشاوران امنیتی با خطرات قانونی این موضوع که خبرهای بد را به شرکتها ابلاغ کنند، آگاهی کامل دارند. به عنوان یک محقق امنیتی، ما تا به حال با دشمنی پروژه و شرکتهای بسیار زیادی روبرو بودهایم.
Dan Guido
با این حال در برخی موارد محققان DCI میتوانستند بهتر عمل کنند. با توجه به حرفهای گویدو تمام این پروسه ممکن بود بهتر پیش برود و آنها بتوانند با استفاده از یک شخص ثالث با آیوتا ارتباط برقرار کنند. گویدو اینگونه ادامه داد:
DCI هم تعدادی اشتباه پیش پا افتاده انجام داد چونکه در صنایع دیگر محققان امنیتی پس از پیدا کردن یک حفره آنرا به یک شرکت هماهنگ کنندهی آسیبپذیری همچون CERT برای ارائهی گزارش تحویل میدهند تا آنها این مشکل را اعلام کنند. البته من همه چیز را دیدم و باید بگویم که این موضوع بر روی نحوهی ادامهی کار ما در این فضا تاثیری نخواهد گذاشت.
Dan Guido
در آخر باید به سوال پاسخ داده شود که آیا فعالیتهای این کمپانی به دلیل یک مورد برخورد اشتباه، از فضای بلاکچین دور خواهد شد؟ نظرات خود را در بخش دیدگاهها با ما به اشتراک بگذارید.